Articoli

Facebook è titolare del trattamento

In Irlanda del Nord, la Court of Appeal in Northern Ireland ha emanato una attesissima sentenza in materia di responsabilità di Facebook per l’abuso di informazioni riservate e ha ribaltato la decisione di primo grado, la quale stabiliva che il noto social network non fosse considerabile titolare del trattamento di dati personali. Invece, i giudici d’appello hanno affermato che Facebook Ireland deve essere ritenuta “data controller” ai sensi della sezione 5 del Data Protection Act 1998, rimanendo legittimata, tuttavia, ad invocare la sua qualità di hosting ai sensi della direttiva sul commercio elettronico contro la domanda di risarcimento del danno per violazione del medesimo Data Protection Act 1998. In questa decisione, la contraddizione tra l’affermazione di applicabilità della direttiva sul commercio elettronico da un lato e la disciplina britannica sui dati personali dall’altro (alla quale è sottoposta Facebook Irlanda) risulta evidente e la Corte d’Appello nordirlandese cerca di appianare tale contraddizione specificando che, nonostante la protezione dei dati sia esclusa dalla disciplina del commercio elettronico, le pagine Facebook e i relativi commenti invece ricadano sotto questa disciplina. Tuttavia, la Corte ha trascurato di affrontare la circostanza secondo cui agli utenti debba essere fornito un rimedio efficace per la tutela del loro diritto alla privacy, senza che tale strumento giuridico debba sussistere a seconda del meccanismo tecnico utilizzato per il trattamento dei dati.

Il consenso al trattamento dei dati si estende anche al loro utilizzo in altro Stato membro

Avv. Flaviano Sanzari

La Corte di Giustizia Europea, con sentenza del 15 marzo 2017, ha affermato che la normativa europea assicura il medesimo rispetto dei requisiti in materia di tutela dei dati personali degli abbonati in tutti gli Stati membri.

La Corte di Giustizia, in particolare, è tornata ad esaminare una questione relativa alla tutela dei dati personali degli abbonati a servizi telefonici. L’occasione è stata fornita da una controversia sorta tra una società che fornisce elenchi abbonati e servizi di consultazione e talune imprese che attribuiscono numeri di telefono ad abbonati dei Paesi Bassi, incentrata sia sulla messa a disposizione dei dati personali degli abbonati ai fini della loro pubblicazione in un elenco telefonico, sia sulla forma e modalità del consenso dell’abbonato telefonico alla pubblicazione dei propri dati con riferimento alle possibilità del loro utilizzo in un altro Stato membro.

Al centro della questione in esame, c’è, innanzitutto, la richiesta formulata dall’impresa belga EDA (European Directory Assistance), la quale fornisce elenchi abbonati e servizi di consultazione accessibili dal territorio belga. Tale impresa ha chiesto alla Tele2, alla Ziggo BV e alla Vodafone Libertel – tre imprese che assegnano numeri di telefono nei Paesi Bassi – di mettere a sua disposizione i dati personali degli abbonati, così da poterli pubblicare in un elenco telefonico.

Ritenendo di non essere tenute a fornire i dati in questione a un’impresa avente sede in un altro Stato membro, le suddette imprese hanno rifiutato di fornire i dati.

L’EDA, allora, ha investito della questione l’Autorità garante dei consumatori e dei mercati (ACM), quale autorità di regolamentazione nazionale, domandandole di risolvere la controversia.

L’Autorità, dopo aver consultato l’Organismo dei regolatori europei delle comunicazioni elettroniche (BEREC), ha invitato la Tele2, la Ziggo e la Vodafone a mettere a disposizione dell’EDA i dati di base relativi ai loro abbonati a condizioni eque, oggettive, orientate ai costi e non discriminatorie, a condizione che l’EDA si impegnasse ad utilizzare tali dati ai fini dell’immissione in commercio di un servizio standard di consultazione.

A loro volta, la Tele2, la Ziggo e la Vodafone hanno proposto un ricorso avverso le decisioni dell’ACM dinanzi alla Corte d’Appello del contenzioso amministrativo in materia economica.

A questo punto, la Corte d’Appello ha rimesso la questione alla Corte di Giustizia Ue, chiedendole:

– se un’impresa sia tenuta a mettere i dati relativi ai suoi abbonati a disposizione di un fornitore di elenchi abbonati e servizi di consultazione con sede in un altro Stato membro e, in caso di risposta affermativa,

– se si debba lasciare agli abbonati la scelta di dare o meno il proprio consenso a seconda dei paesi in cui l’impresa che chiede i dati in questione fornisce i propri servizi.

Ebbene, con la summenzionata sentenza del 15 marzo 2017, la Corte Ue ha affermato che la direttiva 2002/22/CE (relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica) si applica anche alle richieste provenienti da un’impresa che abbia sede in uno Stato membro diverso da quello in cui hanno sede le imprese che attribuiscono numeri di telefono agli abbonati.

Infatti, dall’articolo 25, paragrafo 2, della direttiva, risulta che tale disposizione riguarda qualsiasi richiesta ragionevole di rendere disponibili le informazioni necessarie ai fini della fornitura di elenchi e di servizi di consultazione accessibili al pubblico. Questo articolo esige inoltre che ciò avvenga a condizioni non discriminatorie.

Dalla disposizione emerge che il legislatore dell’Unione non procede ad alcuna distinzione a seconda che la richiesta di messa a disposizione sia formulata da un operatore stabilito nel territorio nazionale o in un altro Stato membro, dal momento che le imprese che assegnano numeri di telefono sono tenute a soddisfare “qualsiasi richiesta ragionevole di messa a disposizione”.

Con riferimento al caso concreto, la Corte Ue spiega che il rifiuto di mettere i dati relativi agli abbonati a disposizione dei richiedenti, per il solo motivo che questi ultimi avrebbero sede in un altro Stato membro, sarebbe incompatibile con il principio di non discriminazione.

Inoltre, per quanto riguarda la questione se si debba lasciare agli abbonati la scelta di dare o meno il proprio consenso a seconda dei paesi in cui l’impresa che chiede i dati in questione fornisce i propri servizi, la Corte di giustizia, richiamando la giurisprudenza, afferma che nel caso in cui un abbonato sia stato informato dall’impresa che gli ha assegnato un numero di telefono della possibilità che i suoi dati personali siano trasmessi ad un’impresa terza per essere inseriti in un elenco pubblico, e abbia acconsentito a tale pubblicazione, l’abbonato non deve dare nuovamente il suo consenso.

Secondo la Corte, l’ottenimento di un nuovo consenso da parte dell’abbonato è necessario solo qualora i dati siano usati per scopi diversi da quelli per cui sono stati raccolti al fine della loro prima pubblicazione.

Come affermato anche dall’Avvocato Generale Yves Bot, non esiste nessuna ragione particolare che giustifichi una differenza di trattamento a seconda che l’operatore sia stabilito nel territorio nazionale o in un altro Stato membro, se i dati personali sono raccolti per fini assolutamente identici a quelli per i quali essi sono stati raccolti ai fini della loro prima pubblicazione.

Infatti, in simili circostanze, la trasmissione di questi stessi dati ad un’altra impresa che intende pubblicare un elenco pubblico, senza che detto abbonato abbia nuovamente prestato il proprio consenso, non lede la sostanza stessa del diritto alla tutela dei dati personali, quale riconosciuto dalla Carta dei diritti fondamentali dell’Unione europea.

Yahoo!: via il link a sito con dati inesatti e superati

Yahoo! dovrà rimuovere il link alla pagina web di un sito statunitense in cui sono pubblicate informazioni inesatte e non aggiornate relative ad un cittadino italiano coinvolto in una vicenda giudiziaria accaduta in territorio americano. Lo ha deciso il Garante privacy, accogliendo il ricorso di un uomo che si era visto pubblicare propri dati personali su un sito che riporta gli arresti compiuti ogni giorno negli USA. Il Garante ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale sulla base del principio di stabilimento. Nell’accogliere il ricorso, l’Autorità ha dunque ritenuto illecita la diffusione di informazioni non aggiornate e inesatte riferite al ricorrente, perché in contrasto con la normativa europea e nazionale.01

Telemarketing, no all’uso dei numeri di telefono “pescati” in rete

Avv. Flaviano Sanzari

Stop al telemarketing con l’utilizzo di numeri di telefono recuperati in internet e contattati senza il consenso dei destinatari. Il principio è stato ribadito dal Garante privacy, che ha recentemente vietato ad una società l’uso di utenze telefoniche reperite on line a fini promozionali.

Dagli accertamenti svolti dall’Autorità in collaborazione con il Nucleo speciale privacy della Guardia di finanza, è emerso che la società, attiva nell’offerta di servizi in Internet (costruzione e gestione di siti web, posizionamento nei motori di ricerca, vendita di spazi pubblicitari e attività di social media marketing), per acquisire nuovi clienti e promuovere i propri prodotti contattava telefonicamente le utenze reperite in rete, in genere numeri di telefono di liberi professionisti e imprese individuali presenti nell’area “contatti” dei siti. Si tratta, tuttavia, di un trattamento di dati personali illecito, perché effettuato senza aver prima acquisito il consenso dei destinatari per la specifica finalità in questione. La circostanza, infatti, che i numeri di telefono presenti in Internet siano liberamente conoscibili da chiunque, non significa che possano essere legittimamente usati per finalità (come il marketing) diverse da quelle per cui sono stati pubblicati on line.

Il Garante, inoltre, ha vietato alla medesima società l’uso di dati per finalità promozionali, anche in riferimento all’attività di invio automatizzato di e-mail, a quanti richiedevano i preventivi sui servizi resi grazie a un form disponibile sul sito. Nel modello, infatti, il potenziale cliente poteva selezionare solo un’unica casella, sia per finalità contrattuali che per il trattamento di dati per fini  pubblicitari, ricerche di mercato e sondaggi via e-mail.

Pur prendendo atto della dichiarazione della società di non aver svolto attività promozionali, il Garante ha ritenuto illecita la raccolta effettuata mediante il form. Tra i  clienti che non hanno potuto manifestare il libero e specifico consenso per l’invio di comunicazioni automatizzate promozionali, oltre a imprese individuali e liberi professionisti, vi erano anche numerose persone giuridiche, che in base all’art. 130 del Codice Privacy, continuano ad essere tutelate riguardo alle comunicazioni promozionali automatizzate (e-mail, telefonate, sms).

L’Autorità si è riservata di valutare l’applicazione delle sanzioni amministrative previste dal Codice per le violazioni rilevate.

Call center delocalizzati, nuove disposizioni normative

Avv. Flaviano Sanzari

Dal primo gennaio 2017 è entrata in vigore una normativa particolarmente restrittiva per le attività di call center in Italia. Lo prevede la legge di Stabilità 2017. Il giro di vite è stato giustificato avanzando ragioni riguardanti la tutela dei lavoratori e la tutela della privacy degli utenti. Negli scorsi anni, sempre più di frequente, numerosi operatori attivi sia nel segmento delle chiamate verso gli utenti (cd. outbound) che da parte degli utenti (cd. inbound) hanno delocalizzato le attività in altri Paesi dell’Unione europea o, più spesso, in Albania, sfruttando il doppio vantaggio di un costo del lavoro inferiore e della padronanza dell’italiano da parte dei lavoratori locali. La casistica è varia (si pensi alla società Y che esternalizza, per l’intera area Ue, la funzione di customer care alla controllata X, stabilita in Romania, oppure in Grecia, assumendo, per ciascun mercato di riferimento, lavoratori dotati di conoscenze linguistiche adeguate, quando non veri e propri madrelingua) e va preso atto che si tratta di strategie imprenditoriali lecite e fondate su considerazioni di efficienza allocativa che – almeno in ambito Ue – sono insindacabili sul piano del diritto. Cosa prevede, dunque, la nuova disciplina, introdotta con la legge di Stabilità 2017? Innanzitutto che qualunque operatore economico che decida di delocalizzare call center fuori dall’Unione europea deve darne comunicazione al Ministero del Lavoro, all’Ispettorato nazionale del lavoro, al Ministero dello Sviluppo economico (Mise) e al Garante per la protezione dei dati personali. Inoltre, per tutti gli operatori economici che svolgono attività di call center diventa obbligatorio iscriversi al Registro degli operatori di comunicazione (Roc) tenuto dall’Autorità per le garanzie nelle comunicazioni, alla quale dovranno essere fornite tutte le numerazioni telefoniche messe a disposizioni del pubblico e utilizzate per i servizi di call center. Sotto il profilo della tutela dei dati personali, la legge (cioè il novellato articolo 24-bis del decreto legge n. 83/2012) adesso impone agli operatori di dichiarare sempre il Paese da cui le chiamate sono effettuate o ricevute, nonché di informare il soggetto contattato della possibilità di richiedere che il servizio sia reso tramite un operatore collocato nel territorio nazionale o di un Paese membro dell’Unione europea, di cui deve essere garantita l’immediata disponibilità nell’ambito della medesima chiamata. L’impatto operativo di questa norma sulla filiera produttiva sarà importante, perché di fatto essa costringerà gli operatori a mantenere un “piede” in Italia, o almeno in Ue. Senza considerare che la formulazione letterale della legge (cioè i commi 5 e 6 del citato articolo 24-bis) è affetta da una discrasia tecnica che andrà risolta sul piano interpretativo, perché, mentre per le chiamate ricevute (inbound) essa prevede che il call center debba dare l’informazione a qualsiasi “soggetto”, per le chiamate effettuate (outbound) il soggetto beneficiario della norma è il solo “cittadino”. Sembrerebbe, quindi, che la norma escluda dal suo ambito di applicazione, per ciò che riguarda quest’ultimo genere di chiamate, i residenti non cittadini italiani e che non copra le persone giuridiche, per le quali invece il Garante privacy italiano continua a ritenere applicabili le tutele del Codice privacy in ambito di marketing diretto. Un’ulteriore e importante innovazione correlata all’applicazione del Codice privacy italiano riguarda l’introduzione della responsabilità solidale tra committente e call center per i seguenti due casi (si veda il comma 8 dell’articolo 24-bis): da un lato, per la violazione generica della nuova normativa sui call center, incluse le disposizioni sulle comunicazioni amministrative obbligatorie; dall’altro, per il mancato rispetto delle regole sul telemarketing previste dal Codice privacy, innanzitutto quelle sul cd. opt-out, cioè il diritto riconosciuto ai titolari di numerazioni contenute in elenchi telefonici di iscriversi nella cd. Robinson List e non essere più contattati. Si consideri, inoltre, che, a presidio di questa allocazione di responsabilità, il citato comma 8 prevede che “anche il soggetto che ha affidato lo svolgimento di propri servizi a un call center esterno è considerato titolare del trattamento”. Da questa innovazione legislativa è possibile trarre, in diritto, alcune conclusioni. Innanzitutto, essa qualifica ex lege come Titolari del trattamento i soggetti interposti tra il committente e l’outsourcer extracomunitario; si tratta di operatori economici che fino ad ora avevano invece il ruolo di responsabile del trattamento. In sostanza, un operatore di call center italiano che gestisca una commessa tramite una propria controllata o consociata stabilita in Albania è oggi, de iure, qualificato come titolare del trattamento, al pari del committente, che è l’unico che invece decide tempi, modalità e obiettivi delle campagne di marketing. Ciò imporrà alla filiera di riorganizzarsi, anche sul piano contrattuale, nel quale tale assetto andrà necessariamente trasposto, prevedendo anche gli opportuni accorgimenti sul piano delle garanzie tra le parti. La norma, peraltro, difetta di chiarezza allorché prevede che “la constatazione della violazione può essere notificata all’affidatario estero per il tramite del committente”, in quanto non specifica se per committente intende proprio la società titolare della campagna di marketing o comunque del trattamento, ovvero se intenda che la sostituzione valga anche per la società di call center commissionata, stabilita in Italia, che a sua volta esternalizzi le chiamate, per esempio, alla controllata albanese. Infine, questo regime speciale previsto per i call center sembra discordare con l’assetto previsto dal nuovo Regolamento privacy europeo che, in aderenza alla realtà economica sostanziale, ha introdotto la possibilità di disciplinare le filiere di responsabili esterni attraverso un concatenarsi di sub-nomine e clausole contrattuali ad hoc (si veda l’articolo 28, comma 4, del Regolamento n. 679/2016), prevedendo altresì la responsabilità solidale tra titolare e responsabile esterno soltanto in caso di danno arrecato agli interessati (si veda l’articolo 82, comma 4, del Regolamento). Quale, dunque, tra i due regimi normativi prevarrà per i call center, quando il Regolamento privacy diventerà efficace a maggio del 2018? Quello generale europeo, o quello speciale italiano? In conclusione, sul piano generale della politica del diritto, il Legislatore italiano ha perso un’occasione per riordinare la normativa sui call center in un’ottica di reale protezione della sfera privata dei soggetti contattati, per i quali il problema non è e non sarà da chi o da dove ricevono le telefonate, quanto il perché le ricevono. Senza considerare che l’obiettivo di protezione sindacale degli addetti, perseguito dalla nuova disciplina, rischia ugualmente di fallire; almeno finché esisterà l’Unione europea, col suo quadro di regole, nessuno potrà impedire ad un imprenditore di stabilirsi in Slovenia o in Croazia per offrire servizi in Italia; e per i lavoratori albanesi, che parlano bene l’italiano, Slovenia e Croazia non sono poi così lontane.

Registrazioni tra presenti: l’orientamento della Cassazione

Avv. Flaviano Sanzari

Con la sentenza n. 5241/2017, la terza Sezione Penale della Cassazione è tornata sul tema dell’uso delle registrazioni video e sonore, anche di conversazioni telefoniche, tra presenti, effettuate da uno dei partecipanti al colloquio, o da persona autorizzata ad assistervi.

Secondo la Suprema Corte, esse costituiscono, in giudizio, prove documentali valide e particolarmente attendibili, perché cristallizzano “in via definitiva ed oggettiva un fatto storico – il colloquio tra presenti (e tutto l’incontro, se con video) o la telefonata”.

Nel particolare caso di violenza sessuale, poi, “le video registrazioni risultano particolarmente valide, per la ricostruzione oggettiva delle violenze. Le moderne tecniche di registrazione, alla portata di tutti, per l’uso massiccio dei telefonini smart, che hanno sempre incorporati registratori vocali e video, e l’uso di app dedicate per la registrazione di chiamate e di suoni, consentono una documentazione inconfutabile ed oggettiva del contenuto di colloqui e/o di telefonate, tra il violentatore e la vittima”.

Infatti, prosegue la Cassazione, le registrazioni di conversazioni – e di video – tra presenti, compiute di propria iniziativa da uno degli interlocutori, “non necessitano dell’autorizzazione del giudice per le indagini preliminari, ai sensi dell’art. 267 c.p.p., in quanto non rientrano nel concetto di intercettazione in senso tecnico”, ma si risolvono, come osservato, in una particolare forma di documentazione, non sottoposta ai limiti ed alle formalità delle intercettazioni.

Infine, viene ricordata l’interpretazione della Suprema Corte di Cassazione, consolidata in materia, secondo cui è infondata ogni questione di legittimità costituzionale delle norme in tema di intercettazioni, “nella parte in cui non prevedono l’estensione dei limiti di applicabilità della normativa codicistica in materia di intercettazioni telefoniche e ambientali anche alle intercettazioni di conversazioni tra presenti o al telefono svolte non solo da un estraneo, ma anche da uno degli interlocutori della conversazione medesima”, trattandosi di situazioni del tutto diverse fra loro e non potendosi in alcun modo equiparare la registrazione effettuata, sia pure occultamente, da uno dei protagonisti della conversazione, all’ingerenza esterna sulla vita privata costituita dall’intercettazione svolta per opera di un terzo.

Trattamento di dati sensibili: parola alle Sezioni Unite

Avv. Flaviano Sanzari

Sulle corrette modalità di trattamento e comunicazione dei dati sensibili, nel rispetto dei diritti fondamentali della persona, sono chiamate a pronunciarsi le Sezioni Unite della Corte di Cassazione, evocate dalla prima sezione, con l’ordinanza interlocutoria n. 3455/2017.

In particolare, si dovrà stabilire se, nella fattispecie, la banca e la Regione abbiano violato le norme sulla privacy in occasione di un pagamento eseguito in favore di un cittadino.

Questi lamentava, infatti, la diffusione di dati sensibili rivelatori del suo stato di salute, perché, nel disporre il pagamento per via telematica, la Regione, nella causale, aveva fatto riferimento alla legge n. 210/1992 (sugli indennizzi per i danni da vaccini obbligatori o da trasfusioni di sangue infetto), la stessa usata dall’istituto di credito per contraddistinguere il corrispondente movimento nell’estratto conto inviato al cliente. Il ricorso era stato respinto dal Tribunale di Napoli, mentre la prima sezione della Corte di Cassazione, di fronte alla quale è approdata la controversia, ricorda come la Giurisprudenza sul punto non sia univoca.

Con la sentenza n. 10947/2014, infatti, proprio la prima sezione aveva sanzionato una simile condotta, stabilendo il dovere di trattare i dati personali nel rispetto dei diritti fondamentali, con particolare riguardo ai dati sensibili idonei a rivelare lo stato di salute ed evidenziando la necessità di ricorrere, in tali casi, a tecniche di cifratura o a codici di identificazione idonei a renderli temporaneamente non leggibili anche a chi è autorizzato ad accedervi.

Una scelta non condivisa, tuttavia, dalla terza sezione con la sentenza n. 10280/2015, che, in un’identica fattispecie, aveva invece escluso la violazione delle norme sulla privacy. Secondo i giudici, non vi sarebbe stata la diffusione, che si configura solo quando un dato è conoscibile e messo a disposizione di soggetti indeterminati e in qualunque forma.

Quanto alla banca, andava considerata la pluralità di soggetti che potevano conoscere il dato in ragione del servizio svolto, per cui non si potrebbe esigere che siano previamente identificati i soggetti a cui indirizzare la comunicazione. L’istituto di credito, inoltre, avrebbe agito nel rispetto del contratto di conto corrente, su mandato dello stesso cliente, per cui doveva riconoscersi, come previsto dal codice privacy e chiarito dalla giurisprudenza, che non è necessario alcun consenso al trattamento di dati sensibili, quando il trattamento è necessario per adempiere un obbligo di legge.

Neppure la Regione avrebbe violato le norme sulla privacy e, in particolare, l’articolo 22 che detta le regole di trattamento per gli enti pubblici, essendo questo destinato ad impedire che, attraverso la consultazione di banche dati, possano essere identificati gli interessati, ma non applicabile alla Regione che si era limitata a indicare, per ragioni di trasparenza ed efficacia dell’attività amministrativa, la causale del pagamento.

No del garante al consenso “obbligato” per finalità promozionali

Avv. Flaviano Sanzari

Il Garante Privacy, in linea con il proprio costante orientamento in materia, ha confermato che non può essere prestato da parte dei clienti un unico consenso omnicomprensivo per poter usufruire dei servizi prestati da un’azienda (“accetto/non accetto”), esteso anche alla ricezione di messaggi promo-pubblicitari.

Nella fattispecie da ultimo esaminata dal Garante, i clienti, all’atto della registrazione al sito internet e barrando il flag nell’apposita casella delle condizioni generali di utilizzo del portale, erano obbligati ad accettare le menzionate condizioni contrattuali e, al contempo, a prestare il proprio consenso alla ricezione di comunicazioni commerciali.

Tuttavia, come affermato dal Garante in più occasioni, questa modalità viola il principio in base al quale il consenso, per essere valido, deve essere non condizionato, ovvero libero, specifico ed informato. Per tale motivo, il Garante ha vietato all’operatore in questione, che aveva raccolto i dati attraverso il proprio sito internet, di utilizzarli per finalità di marketing.

Si segnala, per completezza, che i principi in esame sono stati trasposti, come era prevedibile, anche nel nuovo Regolamento UE privacy n° 679/2016, che è entrato in vigore il 24 maggio 2016 e che diventerà direttamente applicabile in tutti gli Stati membri dell’Unione a partire dal 25 maggio 2018 (cfr.: art. 7, 4° co., e i considerando 32 e 43).

Privacy, un Dpo per lo studio – Il Data protection offìcer, un onere ma anche un’opportunità

estratto da pag. 34 di ItaliaOggi del 30 gennaio 2017.

Download (PDF, 1.18MB)

Download (PDF, 1.18MB)

No all’algoritmo della reputazione, viola la dignità della persona

Avv. Flaviano Sanzari

No del Garante privacy alla piattaforma web per l’elaborazione di profili reputazionali. Con provvedimento del 24.11.2016, l’Autorità ha dichiarato che il trattamento di dati personali connesso ai servizi offerti tramite la banca dati informatica “Mevaluate” non risulta conforme al Codice Privacy ed è potenzialmente lesivo della dignità delle persone e, pertanto, ha vietato qualunque operazione di trattamento (presente o futura), ove effettuata sulla base dei presupposti e delle modalità indicate dalla società proprietaria della piattaforma, in riferimento ai dati personali degli interessati.

In particolare, l’infrastruttura, costituita da un portale web e un archivio informatico, dovrebbe raccogliere ed elaborare una mole rilevante di dati personali contenuti in documenti caricati volontariamente sulla piattaforma dagli stessi utenti o ricavati dal web. Attraverso un algoritmo, il sistema costruirebbe poi una sorta di rating reputazionale, assegnando ai soggetti censiti degli indicatori alfanumerici in grado di misurare in modo oggettivo l’affidabilità delle persone in campo economico e professionale.

Il Garante ha però ritenuto che il sistema comporti rilevanti problematiche per la privacy a causa della delicatezza delle informazioni che si vorrebbero utilizzare, del pervasivo impatto sugli interessati e delle  modalità di trattamento che la società titolare intende mettere in atto. Pur essendo infatti legittima, in linea di principio, l’erogazione di servizi che possano contribuire a rendere maggiormente efficienti, trasparenti e sicuri i rapporti socioeconomici, il sistema in esame presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di un’ampia platea di individui (clienti, candidati, imprenditori, liberi professionisti, cittadini), influenzando le scelte altrui e  condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.

Per quanto riguarda, poi, l’asserita oggettività delle valutazioni, la società proprietaria non è stata in grado di dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione del rating. L’Autorità ha avanzato perplessità sull’opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione. Oltre alla difficoltà di misurare situazioni e variabili non facilmente classificabili, non vi sarebbero garanzie nemmeno sulla veridicità e completezza della documentazione su cui fondare la valutazione, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite.

Infine, il Garante ha manifestato dubbi sulle misure di sicurezza del sistema, basate, prevalentemente, su procedure di autenticazione “debole” (user id e password) e su meccanismi di cifratura dei soli dati giudiziari. Si tratta, secondo l’Autorità, di misure inadeguate, specialmente se rapportate all’elevato numero di soggetti che potrebbero essere coinvolti e all’ingente quantitativo di informazioni, anche molto delicate, che verrebbero registrate all’interno della piattaforma.

Ulteriori criticità sono state ravvisate, inoltre, nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.